Što veći prijestup, to niža kazna! Takvu je poruku poslala Agencija za zaštitu osobnih podataka kad je prošli tjedan izrekla rješenje i kaznu Hrvatskom uredu za osiguranje u slučaju kompromitiranja baze podataka svih registriranih vozila u Hrvatskoj i 1,2 milijuna njihovih vlasnika - najvećeg curenja podataka u Hrvatskoj ikad! AZOP ni na jednom mjestu u rješenju nije napisao da su podaci iscurili iz HUO-a, nego da su, nakon nadzornih postupanja kod više voditelja obrade osobnih podataka – HUO-a, Centra za vozila Hrvatske i Ministarstva unutarnjih poslova Republike Hrvatske, kao i drugih pravnih subjekata koji su se povezivali s incidentom, utvrdili da se struktura podataka koja im je dostavljena na USB sticku (dostavili smo im je mi nakon što smo došli u posjed anonimnom dostavom) podudara s bazom HUO-a te da je HUO voditelj obrade tih osobnih podataka.
I kao takav nije poduzeo odgovarajuće organizacijske i tehničke mjere zaštite što je omogućilo lakšu dostupnost podataka neovlaštenim osobama i mogućnosti njihova iznošenja iz baze HUO-a. Te da okolnosti događaja istražuje i MUP koji je, znači, bio i predmet nadzora. Dakle, MUP, između ostalih, istražuje i sam sebe. Usporedimo ovu situaciju s drugim slučajem curenja podataka – onim iz agencije za naplatu potraživanja EOS Matrix, za koji je izrečena najveća kazna otkad AZOP postoji, 5,47 milijuna eura (tada 41,21 milijun kuna) za curenje podataka o 181.641 dužniku čija su potraživanja otkupili – pristup je drastično različit! Ako se primjeni princip da se kazna podijeli na broj građana čiji su podaci kompromitirani, dobivamo ravno 30 eura "po glavi". U slučaju HUO-a taj se iznos spušta na 8,5 centi, što je 357 puta manje! Hm.
Za šest puta više oštećenika, kazna je 50 puta niža! To se ne može nazvati ni simboličnom kaznom. AZOP je objasnio da je, s obzirom na to da je HUO pravna osoba s javnim ovlastima, u primjeni članak 44. Zakona o provedbi Opće uredbe o zaštiti podataka koji propisuje da, ako se upravna novčana kazna izriče protiv pravne osobe s javnim ovlastima ili protiv pravne osobe koja obavlja javnu službu, izrečena upravna novčana kazna ne smije ugroziti obavljanje takve javne ovlasti ili javne službe. Stoga je regulator odlučio odrezati pišljivih 101.000 eura. HUO je u 2023., prema financijskom izvješću, imao prihode 5,2 milijuna eura, dobit 3,5 milijuna eura, imaju 4,4 milijuna eura imovine, 3,9 milijuna eura vlastitih izvora (kapitala) te 670.000 eura na računu. Financijska im je imovina 3,29 milijuna eura. AZOP je definitivno "složio" kaznu koja im ne bi ugrozila ni godišnju nabavu troslojnog toalet papira, a kamoli poslovanje.
Druga je stvar zašto bi HUO uopće platio ikakvu kaznu ako nije kriv? OK. Procjena da nisu poduzeli odgovarajuće mjere zaštite čime je ugrožen sigurnosni sustav s osobnim podacima koje čuvaju je arbitrarna, regulator za to ima svoje kriterije. Plus, birokratska procedura. HUO nije propisao maksimalne rokove čuvanja osobnih podataka ispitanika. Vrijedi li to 110.000 eura kazne? Ili je za ono prvo kazna premala, a za ovo prevelika? Usto, ima još pokoja kvaka. Recimo, jedna malo konkretnija je činjenica da AZOP, kad nabraja koji su se podaci na sticku poklopili s podacima koje obrađuje HUO, spominje i podatke o umanjenju osiguranja (bonusi/malusi). No podataka o umanjenju bonusa nije bilo u kompromitiranoj bazi. Time se, valjda, bavi MUP.
Kompromitiranje i trgovina informacijama o imenu i prezimenu, OIB-ima, JMBG-ima, adresama, registarskim oznakama, datumima ugovaranja i isteka polica obveznog auto osiguranja, kao i vozilima, svih građana u Hrvatskoj koji imaju osigurana vozila, nisu izolirani slučaj. Na dan kad je AZOP izrekao kaznu HUO-u cijela se priča ponovila! Nekoliko sati nakon javne objave ponovo su nam dostavljeni istovrsni podaci, ovaj put ne iz 2021. nego iz 2006. – kako ne bi bilo dvojbe da s ovim curenjem HUO nema "blage veze". Tek 1. siječnja 2007. preuzeli su vođenje osobnih podataka. Nakon što je procurio i zapisnik s Upravnog odbora HUO-a otkrilo se i da direktor HUO-a Hrvoje Pauković daje ostavku. Je li kriv ili indisponiran? Ili oboje, ovisno o tome koja je situacija istinita. Prije nego što je HUO imao zakonsku ingerenciju nad vođenjem ovih podataka, isključivi je pristup MUP-ovoj bazi imao Centar za vozila Hrvatske koji se, za razliku od burne reakcije prije godinu dana, sada pravi mrtav. Na upit nam ne odgovaraju, a službeno se još nije oglasio ni HUO. Samo neslužbeno.
Zanimljiva je i jedna druga paralela. Dok MUP, DORH i ŽDO u ovom slučaju godinu dana ne daju znakove života, za odavanje podataka o registracijama u filmskoj je akciji USKOK-a uhićen radnik Zagrebparkinga koji ima pristup MUP-ovu službenom sustavu o vlasništvu vozila. Zvuči poznato? U ovom slučaju to je činio kako bi svojim suučesnicima u kaznenom djelu pomogao utvrditi prati li ih policija. No iako se u "našem" slučaju radi o trgovini podacima radi preotimanja autoosiguranika konkurenciji, pristup istovrsnim podacima nije nimalo benigan. U bazi su informacije o SVIM registriranim vozilima – znači i o vozilima štićenih osoba, javnih osoba, zastupnika u Hrvatskom saboru, članova Vlade, ali i o "no name" osobama koje se možda skrivaju od nasilnog bivšeg partnera ili novinarima kojima bi oni o kojima pišu rado pokucali na vrata. Meni se to nimalo ne sviđa. Mislim da ne bi trebalo nijednom građaninu. Zato je donesena GDPR uredba. Koja je postala Zakon o provedbi Opće uredbe o zaštiti podataka. Osim kad se ne provodi.
Curenje podataka smeta samo osobama koje se bave nečasnim radovima.